EU:s uppdaterade direktiv om säkerhet i nätverks- och informationssystem (NIS2) har nu trätt i kraft. Det innebär att kraven på cybersäkerhet stärks väsentligt inom områden för viktiga tjänster och infrastruktur. Se till att ditt företag är säkert, motståndskraftigt samt att det överensstämmer med kommande förordningar om cybersäkerhet i dagens allt mer uppkopplade digitala miljö.
Det andra direktivet om säkerhet i nätverks. och informationssystem (NIS2) är en EU-förordning som stärker cybersäkerheten inom områden för viktiga tjänster och infrastruktur. Genom uppdateringen utökas omfattningen av det ursprungliga NIS-direktivet, vilket innebär krav på att områden som energi, hälso- och sjukvård samt finanssektorn ska hantera och begränsa cyberrisker.
Enligt NIS2 ställs krav på stabilare säkerhetsåtgärder, protokoll för incidentrespons och samarbete med de nationella myndigheterna för att säkerställa motståndskraft mot cyberhot och skydda viktig verksamhet inom olika branscher.
Det finns många viktiga frågor att ställa sig som rör efterlevnaden av EU:s NIS2-direktiv:
Vilka krav finns enligt NIS2 och hur kan vår verksamhet uppfylla dessa?
NIS2-direktivet innebär att kraven på cybersäkerhet stärks väsentligt, särskilt för leverantörer av viktig infrastruktur. Enligt direktivet krävs striktare säkerhetsåtgärder samt krav på att rapportera cybersäkerhetsincidenter inom 24 timmar från det att de identifieras. Detta innebär att det är viktigt med snabb och effektiv respons. Så här kan ni förbereda er:
Förstärk krypteringstekniken och krypteringen
I NIS2 betonas vikten av krypteringstekniska åtgärder för att skydda känslig information. Det innebär att säkerställa att viktig information, oavsett om den lagras eller överförs, ska vara krypterad enligt branschstandard.
Genomför starka autentiseringsmekanismer
Företagen måste använda sig av omfattande autentiseringsprocesser för att uppfylla de striktare säkerhetskraven i NIS2. På så sätt säkerställer man att endast godkända användare har åtkomst till känsliga system och uppgifter.
Utför riskbedömningar, revisioner och säkerhetsplanering regelbundet
Enligt NIS2 ska företag proaktivt hantera och begränsa risker genom regelbundna bedömningar och säkerhetsrevisioner. Dessutom ska de se till att säkerhetsplanerna är uppdaterade.
Undvik påföljder på grund av bristande efterlevnad
Om verksamheten inte uppfyller kraven enligt NIS2 kan det innebära omfattande ekonomiska påföljder och ett skadat rykte. Företagen måste arbeta proaktivt med att uppfylla standarderna för att undvika sådana konsekvenser.
Så här uppfyller ni kraven på efterlevnad enligt NIS2 i er verksamhet
För att uppnå efterlevnad enligt NIS2 krävs följande steg i företaget:
Bedöm riskerna och utarbeta planer
Genomför en noggrann bedömning av er IT och era informationssystem för att identifiera svagheter. Utarbeta en stabil riskhanteringsplan, kontinuitet i verksamheten och strategier för katastrofåterställning så att det finns tydliga åtgärder vid eventuella hot.
Utbilda medarbetare
För att kunna främja en säkerhetsmedveten kultur på företaget behöver medarbetarna utbildas i bästa praxis för cybersäkerhet samt efterlevnad enligt NIS2. Ge dem tillgång till relevanta kurser så att de kan vidga sina kunskaper. Mer information finns på NAVEX sida för efterlevnadsutbildning.
Hantera och rapportera incidenter
Utarbeta planer för incidenthantering vid cybersäkerhetsincidenter och eventuella attacker. Uppmuntra medarbetarna att rapportera incidenter genom att tillhandahålla tydliga processer, inklusive rapporteringsprotokoll, tidsfrister och krav på samtycke.
Säkra leveranskedjor
Bedöm och hantera cyberhot i leveranskedjorna och hos leverantörer. Samarbeta med leverantörer för att säkerställa att de arbetar enligt strikt praxis för cybersäkerhet, för att minska riskerna kring tredje parts sårbarheter.
Genomför interna revisioner regelbundet och åtgärda fel
Schemalägg interna revisioner regelbundet för att säkerställa att NI2 efterlevs och samordnas med era riskhanteringsplaner. Genomför snabbt korrigerande åtgärder vid identifierade problem för att förbättra säkerheten.
Ditt team ska vara stolta över att arbeta på ett företag som värdesätter juridiska och etiska standarder. Med NAVEX One kan du se till din organisation och dina medarbetare har de verktyg som de behöver för att följa och upprätthålla dessa viktiga principer.
Centraliserad hantering av riktlinjer och processer genom hela livscykeln.
Läs mer
Säkerställ regelefterlevnad, gör medarbetarna delaktiga och skapa förtroende med NAVEX lösningar för rapportering och visselblåsning.
Läs mer
Utbilda och engagera dina medarbetare med en onlineutbildning i etik och efterlevnad på deras språk och villkor.
Läs mer
Med NAVEX One kan du enkelt se om tredje parter delar din vision och därmed skydda dina mest värdefulla partnerskap.
Läs mer
Snabb lansering och leverans med NAVEX IRM. Vår färdiga lösning är den snabbaste metoden för att hantera leverantörsrisker.
Läs mer
Europeiska unionen antog formellt NIS2-direktivet i december 2020 och medlemsländerna införlivar det i sin nationella lagstiftning. Företagen bör kontrollera den kommunala tidsplanen för införande och förbereda sig så att de följer direktivet när tidsfristen är på väg att löpa ut.
Efterlevnad av NIS2 krävs i medelstora och stora företag inom viktiga infrastrukturområden, inklusive energi, transport, hälso- och sjukvård samt digitala tjänster. Företag med verksamhet inom EU eller som tillhandahåller tjänster inom unionen måste också följa direktivet, oavsett företagets storlek. Detta innefattar även nya branscher som livsmedelsförsörjning och rymdtjänster.
Påföljderna om NIS2 inte efterlevs kan bli omfattande böter, som vanligtvis beräknas som en procentandel av företagets årliga intäkter och då kan innebära miljontals euro. Dessutom kan det försämra företagens rykte och begränsa deras verksamhet.
NIS2 bygger på NIS1-direktivet och gäller för fler viktiga tjänster. I det nya direktivet införs även striktare säkerhetskrav och större krav på incidentrapportering.
NIST (National Institute of Standards and Technology) arbetar för att utveckla standarder och riktlinjer inom cybersäkerhet, främst för amerikanska federala organ och leverantörer, medan NIS2 är ett EU-direktiv som anger särskilda åtgärder för cybersäkerhet inom viktiga tjänster i medlemsländerna. Mer information om efterlevnad av NIST.
NIS2 gäller främst krav på cybersäkerhet för viktiga enheter inom olika branscher, medan DORA (Digital Operational Resilience Act) är en förordning som är inriktad på finansbranschen, med fokus på operativ motståndskraft mot digitala hot. Mer information om efterlevnad av DORA.
Enligt NIS2 krävs att företagen ska ha planer för incidentrespons som innehåller tydliga förfaranden för att identifiera, rapportera och åtgärda incidenter. Företagen ska även rapportera omfattande incidenter till behöriga myndigheter inom 24 timmar från den tidpunkt då de identifierades.
Företagen ska bedöma och hantera risker i nätverk och informationssystem, vidta lämpliga säkerhetsåtgärder, rapportera incidenter och delta i utbildning om cybersäkerhet. Efterlevnad innebär även regelbundna revisioner och riskbedömningar för att säkerställa att kraven uppfylls kontinuerligt.
Den amerikanska motsvarigheten till NIS2 är till exempel riktlinjer och sektorsspecifika förordningar från Cybersecurity and Infrastructure Security Agency (CISA) samt NIST Cybersecurity Framework som arbetar för att förbättra cybersäkerheten inom viktiga infrastrukturområden. Mer information finns vid behov av mer kontext.